Vergangene Woche hat Google ein wichtiges Update für seinen Browser Chrome ausgeliefert. Damit soll ein neuer Zero-Day-Exploit geschlossen werden, der von kriminellen Hackern derzeit bereits ausgenutzt wird. Details sind zu der Sicherheitslücke (CVE-2022-1096) noch nicht bekannt – Google möchte den Chrome-Nutzern zunächst Gelegenheit geben, ihren Browser upzudaten – doch es scheint sich um eine sogenannte Type Confusion in der V8 JavaScript Engine zu handeln. Solche Schwachstellen können vorkommen, wenn auf ein Objekt mit einer Ressource zugegriffen wird, die eigentlich nicht mit ihm kompatibel ist. Das hat zur Folge, dass das Programm übergebene Daten sich mehr korrekt überprüft – was Kriminelle wiederum für ihre Zwecke ausnutzen. Weitere Informationen sind zum jetzigen Zeitpunkt nicht verfügbar, da Google verhindern will, dass weitere Kriminelle die Sicherheitslücke ausnutzen. Ebenfalls von der Sicherheitslücke betroffen scheint Microsofts Edge-Browser zu sein, zu dem ebenfalls eine Erklärung veröffentlich wurde.
Es ist jedoch nicht der einzige Zero-Day-Exploit, mit dem Chrome-Nutzer derzeit angegriffen werden. Bereits Anfang der Woche hatte Googles Threat Analysis Group (TAG) vor zwei aktuell laufenden Kampagnen gewarnt, die beide offenbar auf nordkoreanische Hackergruppen zurückzuführen sind. Im Fokus stehen dabei amerikanische Organisationen aus den Bereichen Medien, IT, Kryptowährungen und Fintech. Da beide Kampagnen dieselbe Schwachstelle (CVE-2022-0609) mit dem gleichen Exploit-Kit ausnutzen und teils auf die gleichen Strukturen im Hintergrund zugreifen, liegt der Verdacht nahe, dass es sich um zwei verschiedene Teams innerhalb ein und derselben Gruppe handelt.
Das eine Team verfolgt einen Ansatz, den Sicherheitsexperten von ClearSky „Operation Dream Job“ getauft haben und der bereits seit August 2020 bekannt ist. Dabei werden die Opfer mit verlockenden Job-Angeboten per E-Mail geködert. Diese Art des Phishings ist bei nordkoreanischen Angriffstruppen äußerst beliebt. Erst im Januar gaben sich einige dieser Hacker als Mitarbeiter des amerikanischen Luft- und Raumfahrtunternehmens Lockheed Martin aus, um die Opfer mit vermeintlich vielversprechenden Jobangeboten dazu zu bringen, Malware herunterzuladen. In der aktuellen Kampagne sind derzeit über 250 Fälle bekannt, bei denen die Kriminellen für falsche Jobs bei Disney, Google oder Oracle geworben haben.
Das zweite Team hingegen zeigt starke Ähnlichkeit zu „Operation AppleJeus“, bei der die Hackergruppe Lazarus 2018 eine Börse für Kryptowährungen erfolgreich angegriffen hatte. Hier sind im aktuellen Fall die Webseiten von mindestens zwei Fintech-Firmen betroffen, über die das Exploit Kit an rund 85 User ausgeliefert wurde.
Auch wenn der Fokus der nordkoreanischen Angreifer aktuell eher auf US-Unternehmen zu liegen scheint, kann sich das schnell ändern. Die gute Nachricht ist außerdem, dass Google bereits vor einigen Wochen ein Update veröffentlich hat, das die ausgenutzte Sicherheitslücke schließt. Chrome- aber auch Edge-Nutzer sollten jedoch schnell handeln und überprüfen, ob ihr Browser auf dem neuesten Stand ist. Das ist ganz einfach über die Einstellungen des Browsers möglich. Auch Administratoren, die derartige Updates zentral aufspielen, sollten dies schnellstmöglich erledigen, um den Cyberkriminellen keine unnötige Angriffsfläche zu bieten.
Es ist jedoch nicht der einzige Zero-Day-Exploit, mit dem Chrome-Nutzer derzeit angegriffen werden. Bereits Anfang der Woche hatte Googles Threat Analysis Group (TAG) vor zwei aktuell laufenden Kampagnen gewarnt, die beide offenbar auf nordkoreanische Hackergruppen zurückzuführen sind. Im Fokus stehen dabei amerikanische Organisationen aus den Bereichen Medien, IT, Kryptowährungen und Fintech. Da beide Kampagnen dieselbe Schwachstelle (CVE-2022-0609) mit dem gleichen Exploit-Kit ausnutzen und teils auf die gleichen Strukturen im Hintergrund zugreifen, liegt der Verdacht nahe, dass es sich um zwei verschiedene Teams innerhalb ein und derselben Gruppe handelt.
Das eine Team verfolgt einen Ansatz, den Sicherheitsexperten von ClearSky „Operation Dream Job“ getauft haben und der bereits seit August 2020 bekannt ist. Dabei werden die Opfer mit verlockenden Job-Angeboten per E-Mail geködert. Diese Art des Phishings ist bei nordkoreanischen Angriffstruppen äußerst beliebt. Erst im Januar gaben sich einige dieser Hacker als Mitarbeiter des amerikanischen Luft- und Raumfahrtunternehmens Lockheed Martin aus, um die Opfer mit vermeintlich vielversprechenden Jobangeboten dazu zu bringen, Malware herunterzuladen. In der aktuellen Kampagne sind derzeit über 250 Fälle bekannt, bei denen die Kriminellen für falsche Jobs bei Disney, Google oder Oracle geworben haben.
Das zweite Team hingegen zeigt starke Ähnlichkeit zu „Operation AppleJeus“, bei der die Hackergruppe Lazarus 2018 eine Börse für Kryptowährungen erfolgreich angegriffen hatte. Hier sind im aktuellen Fall die Webseiten von mindestens zwei Fintech-Firmen betroffen, über die das Exploit Kit an rund 85 User ausgeliefert wurde.
Auch wenn der Fokus der nordkoreanischen Angreifer aktuell eher auf US-Unternehmen zu liegen scheint, kann sich das schnell ändern. Die gute Nachricht ist außerdem, dass Google bereits vor einigen Wochen ein Update veröffentlich hat, das die ausgenutzte Sicherheitslücke schließt. Chrome- aber auch Edge-Nutzer sollten jedoch schnell handeln und überprüfen, ob ihr Browser auf dem neuesten Stand ist. Das ist ganz einfach über die Einstellungen des Browsers möglich. Auch Administratoren, die derartige Updates zentral aufspielen, sollten dies schnellstmöglich erledigen, um den Cyberkriminellen keine unnötige Angriffsfläche zu bieten.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 15 Jahren ist das Ziel von 8com, Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Firmenkontakt und Herausgeber der Meldung:
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Leiterin Kommunikation & Medien
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
